【安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!

通告编号:NS-2021-0002

2021-01-13

TAG:incaseformat、Worm.Win32.Autorun、数据删除、数据恢复
病毒危害:*此病毒会删除所有非系统分区的文件。*
版本:**1.0 **

1

事件背景

2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。

图片

网传信息截图

SEE MORE →

2病毒分析

从搜索引擎结果来看,该病毒最早出现时间为2009年,主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。

病毒文件运行后,首先复制自身到Windows目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。

图片

同时修改注册表键值实现自启动,涉及注册表项为:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

图片

病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。

图片

此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

图片

最后对非系统分区下所有文件执行删除操作,并创建incaseformat.log文件。

图片

3感染分析

该病毒由于编写时对某时间判断变量赋值错误,导致在今天(2021年1月13日)才触发并执行文件删除的代码逻辑,实际该病毒可能已在感染主机上驻留多年,但由于缺少主机防病毒软件或白名单设置错误等原因,一直未能被发现。

由于病毒本身只能通过U盘等移动介质进行传播,并无相关网络传播特征,此次在国内多个行业出现大规模感染事件,猜测可能与相关应用系统的供应链或厂商运维有关,如:软件分发、更新升级、远程运维等,具体传播途径还需做进一步溯源分析。

4处置建议

1、主机排查

排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。

2、数据恢复

切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。

图片

3、病毒清理

由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:

  1. 通过任务管理器结束病毒相关进程(ttry.exe)

图片

  1. 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)

图片

  1. 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项

转载自https://mp.weixin.qq.com/s/e-gSM-ggbReYy1jAr-oE6Q

admin-root 系统安全 web安全 安全架构
网络安全人人有责,护网一方卫国安邦
欢迎关注公众号:爱国小白帽
推送技术原创及好用的安全工具
因为我也是小白所以文章没啥深度,很适合小白学习,有问题可以一起探讨哦
已标记关键词 清除标记